Ataques contra los sistemas de información

Resumen de la Normativa Comunitaria (Unión Europea) sobre Ataques contra los sistemas de información

Áreas

Estas categorías agrupan y ponen en contexto las iniciativas legislativas y no legislativas, que tratan del mismo tema

Sociedad de la información > Internet actividades en línea y normalización de las TIC

Ataques contra los sistemas de información

Acto

Decisión marco 2005/222/JAI del Consejo de 24 de febrero de 2005 relativa a los ataques de los que son objeto los sistemas de información.

Síntesis

Los principales tipos de infracciones penales cubiertos por esta decisión marco son los ataques contra los sistemas de información * tales como la piratería, los virus y los ataques por denegación del servicio.

También se pueden evitar estas nuevas actividades delictivas, que no se limitan únicamente a las fronteras, y luchar contra ellas:

• mejorando la seguridad de las infraestructuras de información; y
• dotando a las fuerzas y cuerpos de seguridad de los medios necesarios para actuar.

A este efecto, la presente decisión marco propone una aproximación de los sistemas de Derecho penal y una mejora de la cooperación entre las autoridades judiciales en lo que respecta a:

• el acceso ilícito a un sistema de información;
• el perjuicio a la integridad de un sistema;
• el perjuicio a la integridad de los datos.

En todo caso, el elemento de la intencionalidad debe caracterizar el hecho delictivo.

La inducción, la complicidad o la tentativa de cometer uno o varios de los actos antes mencionados serán también sancionables como infracciones penales.

Los Estados miembros deberán prever la posibilidad de que los actos antes mencionados se castiguen con sanciones penales efectivas, proporcionadas y disuasorias.

El cometer la infracción en el marco de una organización delictiva tal como la define la Acción Común 98/733/JAI, y el haber ocasionado graves daños o afectado a intereses esenciales se considerarán circunstancias agravantes. Por el contrario, si la infracción produjo daños menores, la autoridad judicial competente podrá reducir la pena.

Además, la decisión marco propone criterios con el fin de establecer la responsabilidad de la persona jurídica * y las posibles sanciones aplicables cuando ésta sea considerada responsable (prohibición temporal o permanente del desempeño de actividades comerciales, medida judicial de liquidación, exclusión del disfrute de ventajas o ayudas públicas, etc.).

Los Estados miembros serán competentes judicialmente de los actos cometidos en su territorio o por uno de sus nacionales. Cuando la infracción sea de la competencia de varios Estados miembros, los Estados implicados deberán cooperar para designar a uno de ellos como el encargado de perseguir al autor de dicha infracción.

Los Estados miembros intercambiarán toda información destinada a reforzar la cooperación. Se designarán en particular unos puntos de contacto nacionales operativos las 24 horas del día todos los días de la semana.

Los Estados miembros deberán comunicar a la Secretaría General del Consejo y a la Comisión los datos sobre los puntos de contacto así como cualquier otra medida adoptada para la aplicación de la presente decisión marco.

Contexto

Reconocida por el Consejo Europeo de Tampere en octubre de 1999, la necesidad de aproximar las legislaciones relativas a los delitos y a las penas en el ámbito de la delincuencia informática ha sido reafirmada en la comunicación titulada “Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos”.

La presente decisión marco se inscribe en el marco más amplio de la sociedad de la información y del plan de acción eEurope.

Esta decisión marco también pretende completar y desarrollar actividades a escala internacional, tales como los trabajos del G8 y el Convenio del Consejo de Europa sobre la delincuencia cibernética (EN) (FR).

Términos clave del acto

Sistema de información: todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento. Persona jurídica: toda entidad a la cual el derecho vigente reconoce este estatuto, salvo los Estados y otros organismos públicos que ejercen prerrogativas estatales y las organizaciones internacionales de derecho público.

Referencias

Acto	Entrada en vigor	Plazo de transposición en los Estados miembros	Diario Oficial
Decisión marco 2005/222/JAI	16.3.2005	16.3.2007	DO L 69 de 16. 3. 2005

∞∞
ACTOS CONEXOS
∞∞∞

Informe de la Comisión al Consejo basado en el artículo 12 de la Decisión marco del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información [COM(2008) 448 final – no publicado en el Diario Oficial].

La Comisión constata que la Decisión marco aún está en fase de transposición en algunos Estados miembros. Se han registrado notables progresos en prácticamente los 20 Estados miembros evaluados en el presente informe, y se estima que el grado de aplicación es relativamente satisfactorio. La Comisión ruega a los siete Estados miembros que, a principios de julio de 2008, todavía no habían incorporado la Decisión marco a sus ordenamientos nacionales, que pongan remedio a esta situación a la mayor brevedad. La Comisión también ruega a los Estados miembros que procedan a revisar sus legislaciones en un esfuerzo mayor por combatir los ataques contra los sistemas de información.
Frente a la evolución de la delincuencia cibernética, la Comisión está considerando adoptar nuevas medidas a partir de la adopción de la Decisión marco para luchar contra el uso de “botnets” con fines delictivos y promover un uso de los mismos puntos de contacto que los empleados por el Consejo de Europa y el G8 para responder con rapidez a las amenazas asociadas a las tecnologías de punta.